Akamai Bot Manager v2 Derin İncelemesi: 2026'da Otomasyon Nasıl Puanlanır

Akamai Bot Manager v2'nin sinyal yığını, sensor_data üretimi, JA4 ve HTTP/2 parmak izlerini ve meşru otomasyonun residential proxy'lerle nasıl temiz geçtiğini pratik kod örnekleriyle açıklıyoruz.

Akamai Bot Manager v2 Deep-Dive: 2026 Signals & Clean Bypass

Akamai Bot Manager v2, 2026 itibarıyla Fortune 500 sitelerinin yaklaşık %30'unda konuşlanmış bir kenar-ağ bot tespit katmanıdır. Bu rehber, Akamai Bot Manager v2 derin incelemesi kapsamında sinyal yığınını, sensor_data payload'unu, JA4/HTTP/2 protokol parmak izlerini ve meşru otomasyonun residential proxy'lerle nasıl temiz geçtiğini ele alır. Önemli uyarı: buradaki teknikler yalnızca yetkili izleme, güvenlik araştırması ve açıkça izin verilmiş otomasyon içindir. Hedef siteyi izinsiz taramak ABD'de CFAA, AB'de GDPR ve ulusal veri koruma yasalarını ihlal edebilir; her zaman robots.txt ve hizmet şartlarını kontrol edin.

Akamai Bot Manager v2 Derin İncelemesi: Sinyal Yığını Nasıl Çalışır

Akamai'nin bot skorlama motoru tek bir sinyala güvenmez; bunun yerine üç katmanlı bir güven modeli uygular. İlk katman ak_bmsc çerezidir ve ilk HTTP yanıtıyla birlikte Set-Cookie başlığı içinde gelir. Bu çerez, IP itibarı ve ASN gibi sunucu tarafı sinyalleri önbelleğe alır; genellikle 7 gün süreyle geçerlidir ve istemci tarafı kontrole dahil edilmez. İkinci katman, asıl zorluk olan _abck çerezidir. _abck, istemci tarafında bmak.js (eski adıyla sensor.js) tarafından üretilen sensor_data payloaduyla beslenir ve Akamai kenar ağı tarafından sürekli yeniden puanlanır.

Üçüncü katman, Akamai'nin sürekli sunucu tarafı güven skorudür. Bu skor, istek başına değil, oturum boyunca güncellenir. Bir istek tek başına temiz görünse bile, önceki isteklerin fare hareketi, kaydırma deseni ve zamanlama tutarsızlıkları skoru düşürür ve sonunda _abck çerezi - sonekiyle reddedilir. Akamai bot manager bypass denince akla gelen şey aslında bu üç katmanın birlikte tutarlı olmasıdır; tek bir katmanı geçmek yeterli değildir.

_abck ve ak_bmsc Çerez Yaşam Döngüsü

  • ak_bmsc: İlk yanıtta gelir, IP/ASN itibarını taşır, genellikle ~7 gün TTL.
  • _abck: İlk yanıtta boş/örnek değerle gelir; sensor_data gönderilince Akamai ya VALID durumuna geçirir ya da sessizce INVALID tutar. Reddedilen _abck genellikle ~-0~-... biçiminde bir sonek içerir.
  • bmrt ve bm_sz: Yardımcı telemetri çerezleri, oturum riskini takip eder.

sensor_data Nasıl Üretilir: Fare, Kaydırma, GPU ve Zamanlama

Akamai'nin bmak.js motoru, tarayıcı ortamından onlarca sinyal toplayarak bir sensor_data dizesi oluşturur. Bu dize, _abck çerezini sunucuya doğrulamak için bir form alanına veya özel başlığa gömülür. Sinyaller şu kategorilere ayrılır:

  1. Olay telemetrisi: fare hareketi (mousemove), tıklama (mousedown/up), kaydırma (wheel/scroll), dokunma (touchstart/move/end) olaylarının zaman damgaları ve koordinatları. Akamai, bu olayların dağılımına bakar; örneğin fare hareketi hiç durmadan düz çizgiyse veya olaylar arası süre tamamen düzenliyse skor düşer.
  2. Ortam ve donanım özellikleri: navigator.userAgent, navigator.platform, screen.width/height, devicePixelRatio, navigator.hardwareConcurrency, navigator.deviceMemory ve WebGL/GPU satıcı dizesi. Bu alanlardan biri User-Agent ile çelişirse _abck anında geçersiz olur.
  3. Zamanlama ve performans: performance.now() çözünürlüğü, Date.now() sapması, requestAnimationFrame kadansı. Başsız tarayıcılar genellikle rAF kadansını sabit 60 FPS'de tutar; bu da gerçekçi görünür ama donanım değişimi eksikliğinden şüphe uyandırır.
  4. Font ve eklenti numaralandırması: Yüklü font listesi ve eklenti dizisi, canvas parmak iziyle birlikte hashlenir.

Buradaki kritik nokta: Akamai tek bir alanı kontrol etmez; tutarlılık matrisi oluşturur. Örneğin, User-Agent "Windows NT 10.0" diyorsa ama navigator.platform "Linux x86_64" döndürüyorsa, sensor_data hashlenirken bu çelişki yakalanır ve _abck INVALID kalır. Bu nedenle sensor_data akamai üretimi, tek bir alanı taklit etmekle değil, tüm alanların birbiriyle uyumlu bir gerçek tarayıcı profilinden gelmesiyle geçer.

Akıllı bir tek alanı taklit edemezsiniz; Akamai tutarlılık bekler. Başarılı geçiş, gerçek bir tarayıcı bağlamının tüm sinyallerinin birlikte üretilmesini gerektirir.

2026 Protokol Sinyalleri: X25519MLKEM768, JA4 ve HTTP/2 SETTINGS

2026'da Akamai'nin bot tespiti yalnızca JavaScript telemetrisine güvenmiyor; ağ katmanında da parmak iz alıyor. Üç protokol sinyali öne çıkıyor:

1. X25519MLKEM768 Post-Kuantum Anahtar Paylaşımı

Chrome 131+ varsayılan olarak TLS 1.3 el sıkışmasında X25519MLKEM768 post-kuantum anahtar paylaşımını sunar. Bu, RFC 8446 uyumlu bir TLS 1.3 sinyali olsa da, Akamai bu share'in varlığını ve sırasını User-Agent ile çapraz kontrol eder. Örneğin, User-Agent "Chrome/131" diyorsa ama ClientHello'da X25519MLKEM768 yoksa, bu güçlü bir başsız tarayıcı veya özelleştirilmiş HTTP istemcisi göstergesidir. TLS el sıkışması hakkında daha fazla bilgi için MDN TLS dokümantasyonuna bakabilirsiniz.

2. JA4 TLS Parmak İzi

JA4, FoxIO tarafından tanımlanan bir TLS istemci parmak izi standardıdır. ClientHello'daki şifre paketi sıralamasını, uzantı sırasını ve imza algoritmasını birleştirerek bir hash üretir. Akamai, JA4 hash'ini bilinen tarayıcı imzalarıyla karşılaştırır. Örneğin, gerçek Chrome 131'in JA4'ü t13d1516h2_8daaf6152771_b186095e22b6 gibi belirli bir desene sahiptir; Python requests kütüphanesi ise tamamen farklı bir JA4 üretir. Bu çelişki, User-Agent "Chrome" dediği halde JA4 Python'a aitse anında yakalanır.

3. HTTP/2 SETTINGS Parmak İzi

HTTP/2 bağlantısında istemci gönderdiği SETTINGS çerçevesi ve akış öncelikleri de parmak izi taşır. Akamai, SETTINGS değerlerini (HEADER_TABLE_SIZE, INITIAL_WINDOW_SIZE, MAX_CONCURRENT_STREAMS) ve HPACK dinamik tablo davranışını birleştirir. Gerçek Chrome, belirli bir SETTINGS dizisi ve akış önceliklendirme ağacı kullanır; httpx veya curl farklı bir dizi gönderir. Bu, JA4 ile birlikte akamai bot detection 2026 kapsamında en güçlü ağ katmanı sinyalleridir.

Özetle: User-Agent, JA4, HTTP/2 SETTINGS ve X25519MLKEM768 varlığı dördü birbirini doğrulamalıdır. Bir tanesi bile çelişkiliyse, sensor_data ne kadar mükemmel olursa olsun _abck INVALID kalır.

Neden Veri Merkezi Değil, Residential Proxy Şart

Akamai'nin skorlama fonksiyonu IP itibarına ağır ağırlık verir. Veri merkezi ASN'leri (örneğin AWS, DigitalOcean, OVH blokları) başlangıçta yüksek risk olarak işaretlenir; bu, _abck'in sensor_data gönderilse bile daha sık yeniden doğrulama istemesine yol açar. Mobil ve residential ASN'ler ise genellikle gerçek kullanıcı trafiği taşıdığı için başlangıç güven skoru daha yüksektir.

Aşağıdaki tablo üç proxy türünü Akamai Bot Manager v2 bağlamında karşılaştırır:

ÖzellikResidentialMobilDatacenter
Başlangıç IP güven skoruYüksekÇok yüksekDüşük (önceden puanlanmış)
_abck doğrulama sıklığıDüşükÇok düşükYüksek, sık INVALID
Gecikme~200-400ms~150-600ms~20-80ms
Akamai için uygunlukİdealİdeal (en az şüphe)Yüksek risk
Eşzamanlı oturum maliyetiOrtaYüksekDüşük

Veri merkezi IP'leri düşük gecikme avantajı sunsa da, Akamai'nin ASN veritabanında zaten bot olarak önceden puanlanmış olması nedeniyle çoğu senaryoda işe yaramaz. Mobil proxy'ler en yüksek güven skorunu sunar ama maliyet ve gecikme dezavantajı vardır. Residential proxy'ler, maliyet ve güven skoru arasında en iyi dengeyi sağlar. ProxyHat'ın lokasyon sayfasında 190+ ülke residential havuzunu inceleyebilirsiniz.

ProxyHat ile Meşru Otomasyon Kurulumu

Aşağıdaki örnek, yetkili izleme veya güvenlik araştırması senaryosu içindir. Hedef siteden yazılı izniniz olduğundan emin olun. Yaklaşım: gerçek bir başlıklı tarayıcı (Playwright + Chromium) kullanarak sensor_data ve _abck'in doğal olarak üretilmesini sağlamak, ProxyHat residential proxy üzerinden bağlanmak.

Python + Playwright Örneği

from playwright.sync_api import sync_playwright

# ProxyHat residential proxy — HTTP 8080
proxy = {
    "server": "http://gate.proxyhat.com:8080",
    "username": "user-country-US-session-sess123",
    "password": "PASSWORD"
}

with sync_playwright() as p:
    browser = p.chromium.launch(
        headless=False,  # gerçek render için False önerilir
        proxy=proxy,
        args=[
            "--disable-blink-features=AutomationControlled",
            "--enable-features=X25519MLKEM768"  # Chrome 131+ varsayılan
        ]
    )
    context = browser.new_context(
        user_agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) "
                   "AppleWebKit/537.36 (KHTML, like Gecko) "
                   "Chrome/131.0.0.0 Safari/537.36",
        viewport={"width": 1920, "height": 1080},
        locale="en-US"
    )
    page = context.new_page()
    # Gerçek fare hareketi simülasyonu
    page.goto("https://hedef-site.com")
    page.mouse.move(500, 300)
    page.mouse.move(520, 310, steps=10)
    page.wait_for_timeout(2500)  # sensor_data için zaman tanı
    page.screenshot(path="sonuc.png")
    browser.close()

Bu örnekte dikkat edilecek noktalar: (1) headless=False tercih edilir çünkü başsız modda bazı GPU/canvas sinyalleri eksik kalır; (2) User-Agent Chrome 131'e uyarlanmıştır ve X25519MLKEM768 bayrağı açıktır; (3) ProxyHat kullanıcı adında country-US ve session-sess123 ile hem geo-hedefleme hem de yapışkan oturum sağlanır — bu, _abck doğrulamasının aynı IP üzerinden tamamlanması için kritiktir.

curl ile Hızlı Test

curl -x http://user-country-US-session-sess123:PASSWORD@gate.proxyhat.com:8080 \
  -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 " \
  "Chrome/131.0.0.0 Safari/537.36" \
  https://hedef-site.com

curl, JA4 ve HTTP/2 SETTINGS açısından gerçek Chrome'dan farklıdır, bu yüzden Akamai kenar ağı _abck doğrulamasını geçmeyebilir. curl daha çok ak_bmsc ve IP itibarı testleri içindir; tam _abck geçişi için gerçek tarayıcı bağlamı şarttır. SOCKS5 gerektiğinde socks5://user-country-US:PASSWORD@gate.proxyhat.com:1080 biçimini kullanın. Daha fazla yapılandırma detayı için ProxyHat dokümantasyonuna bakın.

Oturum Yönetimi ve Rotasyon

_abck doğrulaması birkaç istek sürebilir; bu yüzden yapışkan oturum kullanın. ProxyHat kullanıcı adında session-xxx bayrağı, aynı IP'yi istekler arası korur. Oturum tamamlandığında yeni bir session-yyy ile rotasyon yapın. ProxyHat fiyatlandırması sayfasından residential havuz paketlerini inceleyebilirsiniz.

Yaygın Hatalar ve Uç Durumlar

  • Tek alan taklidi: Sadece User-Agent değiştirmek ama JA4 ve HTTP/2 SETTINGS'i güncellememek. Akamai bu çelişkiyi 50ms içinde yakalar.
  • Headless modda sensor_data eksikliği: Başsız Chromium, GPU ve canvas sinyallerini eksik üretir; bu, _abck'in sürekli INVALID kalmasına yol açar. Mümkünse başlıklı mod veya Xvfb kullanın.
  • Düzenli fare hareketi: Tamamen doğrusal veya eşit aralıklı fare koordinatları, gerçek insan davranışından sapar. Bezier eğrileri ve jitter ekleyin.
  • Oturum rotasyonu sırasında IP değişimi: _abck doğrulaması sürerken IP değişirse Akamai oturumu sıfırlar. Yapışkan oturum zorunludur.
  • robots.txt ve ToS ihmali: Teknik olarak geçebilseniz bile hukuki olarak izinli değilseniz, bu CFAA/GDPR ihlali olabilir. Her zaman yazılı onay alın.

SERP izleme ve fiyat karşılaştırma gibi meşru senaryolar için web scraping kullanım senaryosu ve SERP takip kullanım senaryosu sayfalarımızda daha fazla rehber bulabilirsiniz.

Anahtar Çıkarımlar

  • Akamai Bot Manager v2 üç katmanlıdır: ak_bmsc (IP itibarı), _abck (sensor_data), sürekli sunucu tarafı skor. Üçü de tutarlı olmalı.
  • sensor_data, fare/scroll/touch olayları, GPU/canvas ve zamanlamadan üretilir; tek alan çelişkisi tüm _abck'i geçersiz kılar.
  • 2026'da JA4, HTTP/2 SETTINGS ve X25519MLKEM768 protokol sinyalleri User-Agent ile uyumlu olmalı; aksi halde ağ katmanında yakalanırsınız.
  • Veri merkezi ASN'leri Akamai'de önceden bot olarak puanlanır; residential veya mobil proxy şarttır.
  • ProxyHat residential proxy + gerçek tarayıcı bağlamı, _abck ve sensor_data'nın doğal üretilmesini sağlar; yapışkan oturum kullanın.
  • Yalnızca yetkili izleme ve güvenlik araştırması için kullanın; robots.txt ve hizmet şartlarına uyun.

SSS

Akamai Bot Manager v2 derin incelemesi nedir?

Akamai Bot Manager v2, kenar ağda çalışan üç katmanlı bir bot tespit sistemidir: ak_bmsc çerezi IP itibarını taşır, _abck çerezi sensor_data ile doğrulanır ve sürekli sunucu tarafı güven skoru oturumu puanlar. Derin incelemesi, bu sinyallerin nasıl toplandığını ve birbirini nasıl doğruladığını anlamayı kapsar.

Akamai Bot Manager v2 proxy kullanıcıları için neden önemli?

Çünkü Akamai IP itibarına ağır ağırlık verir ve veri merkezi ASN'lerini önceden bot olarak puanlar. Yanlış proxy türü, sensor_data ne kadar iyi olursa olsun _abck'in sürekli INVALID kalmasına yol açar. Residential ve mobil proxy'ler yüksek başlangıç güven skoru sunar.

Akamai Bot Manager v2 için en iyi proxy türü hangisi?

Residential proxy'ler maliyet ve güven skoru dengesinde en iyi seçenektir. Mobil proxy'ler en yüksek skoru sunar ama daha pahalıdır. Datacenter proxy'ler Akamai'de önceden bot olarak işaretlendiği için çoğu senaryoda işe yaramaz. Yapışkan oturum desteği olan residential havuz idealdir.

Akamai Bot Manager v2 uygularken blokları nasıl önlersiniz?

Gerçek tarayıcı bağlamı (Playwright/Chromium başlıklı mod), tutarlı User-Agent + JA4 + HTTP/2 SETTINGS, residential proxy ile yapışkan oturum ve gerçekçi fare hareketi kullanın. Tek alan taklidinden kaçının; tüm sinyaller birbiriyle uyumlu olmalı. robots.txt ve hizmet şartlarına uyun.

Başlamaya hazır mısınız?

148+ ülkede 50M+ konut IP'sine AI destekli filtreleme ile erişin.

Fiyatlandırmayı GörüntüleKonut Proxy'leri
← Bloga Dön